In het kort:
De kwetsbaarheid in Asana's MCP-server heeft ongeveer 1.000 accounts getroffen, waarbij gebruikers toegang konden krijgen tot projecten, teams en taken van andere accounts.
- Het lek ontstond bij de introductie van de MCP-server op 1 mei en werd pas op 4 juni ontdekt
- Grote bedrijven zoals Uber, Spotify en Airbnb behoren tot Asana's 130.000 klanten
- Asana heeft de server offline gehaald en werkt aan een volledige impactanalyse
Het grote plaatje:
De integratie van AI-functionaliteit in bestaande platforms brengt nieuwe beveiligingsrisico's met zich mee. MCP-servers, die AI-assistenten laten communiceren met apps en websites, vormen een aantrekkelijk doelwit voor aanvallers.
- Cybersecurity-experts waarschuwen voor prompt-injectie aanvallen en token-diefstal
- MCP-servers vereisen brede toegangsrechten om effectief te functioneren
- Bedrijven wordt aangeraden hun logs te controleren op ongeautoriseerde toegang
Wat volgt:
Asana heeft getroffen klanten geïnformeerd en werkt aan het weer online brengen van de server. Bedrijven zijn gevraagd verdachte activiteiten te melden via een speciaal contactformulier.
